|
|
|
|
Страница 1 из 1
|
[ Сообщений: 6 ] |
|
CISCO IPSEC проблемы с зависшими коннектами
Автор |
Сообщение |
lexamot
Зарегистрирован: 05 окт 2009, 17:43 Сообщения: 44
|
Здравствуйте!
Есть 2811 c 2800nm-advipservicesk9-mz.124-25d Был поднят стабильно работающий целый год IPSEC туннель в другой офис. Вдруг, появились проблемы с таймаутами при подключении на компьютер, который доступен через IPSEC.
Сверили все параметры - всё зеркально идентично! Конфигурацию не изменяли.
Вывод sh cry session remote 1.1.1.1 выдал страшную картину:
IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 57132 host 172.22.22.222 port 30001 Active SAs: 0, origin: crypto map IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 53563 host 172.22.22.222 port 30001 Active SAs: 0, origin: crypto map IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 59683 host 172.22.22.222 port 30001 Active SAs: 0, origin: crypto map IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 51523 host 172.22.22.222 port 30001 Active SAs: 0, origin: crypto map ---- ВЫРЕЗАНО --- IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 59428 host 172.22.22.222 port 30001 Active SAs: 0, origin: crypto map IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 55093 host 172.22.22.222 port 30001 Active SAs: 0, origin: crypto map IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 53818 host 172.22.22.222 port 30001 Active SAs: 0, origin: crypto map IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 55858 host 172.22.22.222 port 30001 Active SAs: 0, origin: crypto map
Нескончаемый список IPSEC FLOW, которые не закрываются? Получается каждый коннект к компьютеру порождает новый IPSEC FLOW, который так и продолжает висеть даже после закрытия TCP соединения.
Куда можно посмотреть?
|
06 июн 2011, 11:11 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
У вас наверно в crypto ACL стоит что-нить типа permit ip any any ?
Очень похоже на такое поведение. Как только циска не знает, что же ей матчить, она каждую сессию отдельным flow пишет.
|
07 июн 2011, 23:23 |
|
|
lexamot
Зарегистрирован: 05 окт 2009, 17:43 Сообщения: 44
|
Здравствуйте!
правило имеет вид: permit tcp host 10.10.10.1 gt 1024 host 10.11.11.1 eq 1234
|
07 июн 2011, 23:26 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Рекомендую заменить на permit ip h 10.10 h 10.11
А трафик резать списком доступа, а не правилом IPSec
СТаринное правило: чем "крупнее" (уровня L3, а не L4) заголовок в описываемом интересном трафике, тем правильнее работает IPSec. НАсколько я помню, раньше вообще запрещалось что-либо кроме IP писать.
Да, много флоу из-за gt 1024
|
07 июн 2011, 23:49 |
|
|
lexamot
Зарегистрирован: 05 окт 2009, 17:43 Сообщения: 44
|
Спасибо! Утром с коллегой попробуем подкорректировать правило удалив gt 1024
|
07 июн 2011, 23:57 |
|
|
lexamot
Зарегистрирован: 05 окт 2009, 17:43 Сообщения: 44
|
Урра! Получилось!
Убрали gt 1024 и теперь поднимается только одна IPSEC сессия в рамках которой ходит трафик.
|
09 июн 2011, 10:51 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 6 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 9 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|
|